Nieuws
image

Exploits voor lekken in Internet Explorer en Access

woensdag 13 april 2005, 21:04 door Redactie, 3 reacties

Het Franse Security Incident Response Team (Frsirt) heeft een buffer overflow lek in de Microsoft JetDB Engine (een database die door verschillende MS Office applicaties gebruikt wordt) ontdekt, die door kwaadwillende personen misbruikt kan worden om een kwetsbaar systeem volledig over te nemen. Om dit te doen moet de aanvaller de gebruiker een Access bestand (.mdb) laten openen. Het lek is niet gepatcht in de patchcyclus van april. Er is echter wel "proof of concept" code beschikbaar die misbruik van het lek maakt. Het Internet Storm Center verwacht dat aanvallen die dit lek misbruiken enigszins succesvol kunnen zijn.

Tevens is er een proof-of-concept exploit voor het "Internet Explorer DHTML object memory corruption" lek verschenen dat gisteren in Microsoft Security Bulletin MS05-020 beschreven en gepatcht werd. Windows gebruikers wordt dringend geraden om de patch te installeren. Volgens F-Secure verschijnt er vaak een paar dagen na de proof-of-concepts malware die dezelfde technieken gebruiken.

Reacties (3)
13-04-2005, 21:51 door G-Force
Geen Acess op mijn PC...Ik zie het bericht al: Windows kan het bestand
niet openen...
14-04-2005, 01:34 door Bitwiper
M.i. is een correctie hier wel op z'n plaats. De bug in
msjet40.dll (o.a. gebruikt door MS Access) is, voor zover ik
weet, ontdekt door "hexview" en al op 31 maart gepubliceerd
op de bugtraq lijst:
http://www.securityfocus.com/archive/1/394758

Daarna is op 11 april op
http://lists.grok.org.uk/pipermail/full-disclosure/2005-April/033260.html
een exploit gepubliceerd die, zoals gebruikelijk, door
http://www.frsirt.com/exploits/20050411.msjet.c.php
(de voormalige http://www.k-otik.com) is overgenomen. Op 12 april
is op fsirt een variant geplaatst.

Geen Access geinstalleerd wil niet zeggen dat je PC niet
vulnerable is. Er zijn nogal wat producten die de msjet
database engine gebruiken (dat kost ontwikkelaars niets, je
kunt deze technologie trouwens ook zelf downloaden bij MS).

Tevens is de jet database engine standaard met enkele OS
versies meegeleverd. Ik sluit ook niet uit dat op een
systeem zonder Access er wel een koppeling op .mdb bestanden
bestaat. Het bestand msjet40.dll is meestal in de system32
map te vinden. Meer info:
http://support.microsoft.com/default.aspx?kbid=239114

In een discussie op bugtraq wordt gewezen op het feit dat je
bij oudere Access versies helemaal geen exploit nodig hebt,
maar VBA code in de MDB file je vuile werk kunt laten doen.
Naar verluid waarschuwen nieuwere Access versies de
gebruiker voor de aanwezigheid van VBA code indien die code
niet signed is (waarbij signed code niets over de intenties
van de ontwikkelaar hoeft te zeggen). In principe moet je
Office documenten als executable code beschouwen.

Waarschijnlijk is enige social engineering nodig om iemand
zomaar een database te laten openen. Denk aan ontslagen
en/of rancuneuze (ex-) werknemers. Ik verwacht hier verder
geen wijd verbreide problemen mee.

Dat ligt anders bij de DHTML vulnerability (en beide andere
MSIE issues die door MS05-020 gepatched worden).

Erik van Straten
14-04-2005, 05:55 door GateHawk

Waarschijnlijk is enige social engineering nodig om iemand
zomaar een database te laten openen. Denk aan ontslagen
en/of rancuneuze (ex-) werknemers. Ik verwacht hier verder
geen wijd verbreide problemen mee.

Als je toch aan het social engineeren gaat kun je ze beter
vragen om een bijlagen te openen, heb je veel sneller je
doel bereikt. Jammer dat iedereen zoveel tijd steekt in het
beveiligen van zijn systeem maar niet in de werknemers van
een bedrijf. Zij zijn en blijven de zwakste schakel.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.

Zoeken
search